Grup de pirateria informàtica APT40 xinès culpat per la Coalició global per pirateria xarxes governamentals

Una coalició de nacions, com ara els Estats Units, el Regne Unit, el Canadà, Alemanya, el Japó, Nova Zelanda i Corea del Sud, s'ha unit a Austràlia per culpar al grup de pirateria xinès patrocinat per l'estat APT40 per infiltrar-se a les xarxes governamentals. Aquest desenvolupament segueix les sancions del març de 2024 contra els membres de l'APT31 , destacant l'amenaça persistent que representen els actors xinesos d'amenaça persistent avançada (APT).

Conegut per diversos noms com ara Bronze Mohawk, Gingham Typhoon, Kryptonite Panda i Leviathan, APT40 s'ha dirigit repetidament a les xarxes australianes i a les de la regió més àmplia. L'assessorament de la coalició afirma: "APT40 s'ha dirigit repetidament a xarxes australianes, així com a xarxes governamentals i del sector privat de la regió, i l'amenaça que representen per a les nostres xarxes continua".

L'APT40 duu a terme operacions de reconeixement regulars, explotant dispositius antics i vulnerables. Són hàbils per adoptar ràpidament explotacions per a noves vulnerabilitats, incloses les del programari àmpliament utilitzat com Atlassian Confluence (CVE-2021-26084), Log4J (CVE-2021-44228) i Microsoft Exchange (CVE-2021-31207, CVE-2021). -34523, CVE-2021-34473) . L'avís adverteix que s'espera que APT40 continuï utilitzant explotacions de prova de concepte (PoC) per a noves vulnerabilitats d'alt perfil poc després del seu llançament públic.

A diferència de molts altres actors d'amenaça, APT40 prefereix explotar una infraestructura vulnerable orientada a Internet per a l'accés inicial en lloc de confiar en el phishing o altres tècniques basades en la interacció dels usuaris. Exfiltren les credencials per a les operacions de seguiment i estableixen la persistència al principi de la cadena d'atac. Se sap que el grup compromet els dispositius heretats de petites oficines/oficines a casa (SOHO), utilitzant-los com a punts de llançament per a atacs posteriors que es combinen amb el trànsit de xarxa legítim. Aquesta tàctica és compartida per altres actors xinesos patrocinats per l'estat a tot el món, cosa que suposa una amenaça global.

En un incident notable, APT40 va mantenir l'accés a la xarxa d'una organització australiana entre juliol i setembre de 2022. Van establir múltiples vectors d'accés, van exfiltrar grans quantitats de dades i es van moure lateralment dins de la xarxa. En un altre cas, el grup va comprometre el portal d'inici de sessió d'accés remot d'una organització, aprofitant un defecte d'execució de codi remot (RCE) divulgat públicament per exfiltrar diversos centenars de parells de nom d'usuari i contrasenya únics.

Per mitigar el risc d'aquests atacs, s'aconsella a les organitzacions que implementin capacitats de registre completes, que peguin ràpidament tots els aparells accessibles per Internet, que implementin la segmentació de la xarxa, desactivin els serveis, ports i protocols no utilitzats, habilitin l'autenticació multifactorial i substitueixin els equips heretats. Es demana als fabricants de programari que adoptin els principis Secure by Design per millorar la seguretat dels seus productes.

L'assessorament de la coalició emfatitza la necessitat que totes les organitzacions revisin aquestes recomanacions per identificar, prevenir i corregir les intrusions APT40. Mitjançant l'adopció d'aquestes mesures, les organitzacions poden reforçar les seves defenses contra les tècniques sofisticades emprades per APT40 i altres actors d'amenaça patrocinats per l'estat.